Solution De Segmentation Du Réseau D'usine Pour Garantir La Sécurité De La Production Et L'isolation Des Données

Pour l'usine, dans un environnement de fabrication intelligent et moderne, il ne s'agit plus d'un État isolé fonctionnant seul, mais d'une interconnexion approfondie grâce à l'Internet industriel. Cependant, la connexion directe entre les équipements, les systèmes de contrôle et le réseau de gestion de l'entreprise entraîne d'énormes risques de sécurité et opérationnels. La segmentation des réseaux est précisément l’approche stratégique clé pour relever ce défi. Il s'appuie sur des méthodes logiques ou physiques pour diviser le réseau d'atelier en différentes zones de sécurité et construit des barrières de contrôle clés tout en garantissant la fluidité des données. Comprendre et mettre en œuvre une segmentation efficace du réseau est essentiel pour garantir la continuité de la production, protéger les données de processus de base et répondre aux exigences de conformité.

Pourquoi la segmentation du réseau est nécessaire dans l'usine

Dans un réseau d'usine plat traditionnel où tous les appareils sont placés dans le même domaine de diffusion, dès qu'un certain appareil est infecté par un virus ou est envahi, la menace se propage rapidement à l'ensemble de la chaîne de production et peut même entraîner l'arrêt de la production dans toute l'usine. Par exemple, si une station d'ingénierie introduit un malware dans un périphérique USB, il est possible d'attaquer l'automate adjacent et de falsifier les paramètres de production. L’intérêt principal de la segmentation du réseau est de freiner la propagation horizontale des menaces et de limiter l’impact des incidents de sécurité au plus petit domaine fonctionnel.

Séparer le trafic réseau en différentes priorités nécessite une segmentation. Les données de contrôle de mouvement ont des exigences en temps réel extrêmement élevées. S'il est mélangé à du trafic en arrière-plan tel que le transfert de fichiers et la vidéosurveillance, cela peut provoquer une congestion du réseau. La congestion du réseau entraînera le retard ou la perte des instructions de contrôle. Un retard ou une perte des instructions de contrôle entraînera des fluctuations dans la qualité de la production. Grâce à la segmentation, une bande passante dédiée peut être réservée au trafic de contrôle critique. Une bande passante exclusive est réservée pour garantir la stabilité et la précision de la production. La stabilité et la précision de la production sont assurées, ce qui est directement lié au taux de qualification du produit et à l'efficacité globale de l'équipement, qui est l'OEE.

Quels sont les principes fondamentaux de la segmentation des réseaux d’usines ?

Le principe de base est la segmentation du « zonage par fonction et fortification en fonction du risque ». Les normes internationales telles que le modèle « zone et pipeline » préconisé par la CEI 62443 constituent des lignes directrices universelles. Premièrement, l'atelier est divisé en différentes zones de sécurité basées sur les fonctions de l'équipement, la sensibilité des données et les exigences de communication, telles que la « zone d'exécution de la fabrication », la « zone de contrôle des processus » et la « zone de maintenance de l'équipement ». Les appareils de chaque zone ont des niveaux de sécurité et des niveaux de confiance similaires.

Construisez des « canaux » entre les régions et mettez en œuvre des politiques strictes de contrôle d’accès. Cette politique doit être mise en œuvre selon le « principe du moindre privilège », ce qui signifie que seul le trafic réseau nécessaire à l'entreprise est autorisé à passer. Par exemple, l’interface homme-machine peut accéder à un automate programmable spécifique, mais elle ne doit pas accéder directement à Internet ; le service de base de données historique a la capacité de lire les données du contrôleur, mais le contrôleur ne doit pas initier activement une connexion à la base de données. Tous les ports et services non essentiels doivent être désactivés.

Comment planifier la segmentation du réseau dans l'usine

La première étape de la planification consiste à mettre en œuvre un inventaire complet des actifs et une analyse des flux commerciaux, ce qui est inévitable. Il est nécessaire d'identifier tous les appareils du réseau, tels que les anciens appareils série, les nouveaux capteurs IoT, les automates, les IHM, les serveurs SCADA, etc., et de trier la direction des données entre eux, c'est-à-dire qui communique avec qui, quel protocole est utilisé pour communiquer et quelle est la fréquence de communication. Cette topologie de réseau et matrice de communication est un modèle de référence en matière de conception segmentée.

Au vu de l'analyse du flux commercial, commencez à dessiner le diagramme de partition logique. De manière générale, il peut être divisé en plusieurs niveaux de haut en bas, à savoir le réseau informatique d'entreprise, la zone industrielle démilitarisée (DMZ), la couche de surveillance d'atelier, la couche de contrôle sur site et la couche d'équipement. Chaque niveau doit déployer des points de contrôle de sécurité entre eux. Lors de la planification, vous devez tenir compte de l'évolutivité future, réserver des interfaces régionales et formuler un plan clair de planification des adresses IP pour éviter que le réseau ne devienne chaotique à l'avenir.

Nécessité de segmentation du réseau d'usine, protection de la sécurité, stabilité de la production_Segmentation du réseau d'usine_Stratégie de segmentation du réseau de risque de sécurité Internet industriel de fabrication intelligente

Quelles technologies sont couramment utilisées pour la segmentation des réseaux d’usine ?

Le LAN virtualisé, également connu sous le nom de VLAN, est la technologie la plus basique et la plus largement utilisée pour réaliser une segmentation logique. À l'aide des opérations de configuration sur le commutateur, les appareils physiquement connectés au même commutateur peuvent être divisés en différents domaines de diffusion. Parmi eux ; de cette manière, le poste d'ingénierie, le poste opérateur et l'équipement de production peuvent être séparés relativement facilement ; cependant, il convient de noter que le VLAN en lui-même ne constitue pas une frontière de sécurité et doit être associé à une liste de contrôle d'accès stricte, ou ACL, pour mettre en œuvre les politiques pertinentes.

Aux limites de zones plus critiques, par exemple entre le réseau de l'atelier et le réseau de l'entreprise, ou entre des zones de contrôle avec différents niveaux de sécurité, des pare-feu industriels ou des pare-feu de nouvelle génération dotés de capacités d'inspection approfondie des paquets doivent être déployés ici. Ce type de pare-feu peut effectuer un filtrage de contenu selon des protocoles industriels, tels que le protocole OPC UA ou le protocole TCP, et d'autres protocoles, et peut identifier et bloquer les instructions malveillantes. Pour les équipements plus anciens et ne prenant pas en charge les mesures d'authentification modernes, la micro-segmentation du réseau peut être utilisée pour mettre en œuvre des politiques précises sur un seul port d'une manière définie par logiciel.

Quels sont les défis de la mise en œuvre de la segmentation des réseaux ?

Le plus grand défi vient de l’intégration des systèmes existants. Parmi de nombreuses usines, il existe d'anciennes machines-outils PLC et CNC qui fonctionnent depuis plus de dix ans, voire des décennies. Ils ne peuvent prendre en charge que des protocoles de communication spécifiques, voire dangereux, et ne peuvent pas prendre en charge les mécanismes de sécurité modernes basés sur IP. Une segmentation forcée peut entraîner la perte de contact de ces appareils clés. La solution habituelle consiste à déployer des passerelles de protocole ou des pare-feu dédiés sur leur périphérie pour effectuer la conversion de protocole et les agents de sécurité.

Un autre défi réside dans le risque d’interruption des opérations de production. Ajuster la structure du réseau sur une ligne de production encore en fonctionnement revient à remplacer un moteur sur un avion en vol. Le niveau de risque est très élevé. Par conséquent, la mise en œuvre doit être soigneusement planifiée et un arrêt planifié est généralement choisi. Cela doit être fait à certaines périodes, par exemple lors de la révision de l'équipement ou pendant les vacances. Des tests suffisants doivent être effectués avant la mise en œuvre et la configuration doit être vérifiée dans un environnement simulé. Un plan de restauration extrêmement détaillé et réfléchi doit être élaboré pour garantir qu'une fois qu'un problème survient, il peut être rapidement restauré à son état d'origine.

Comment évaluer l'efficacité de la segmentation du réseau

Des évaluations d’un point de vue technique peuvent être réalisées grâce à des tests d’intrusion et des analyses de vulnérabilité réguliers. Les testeurs tenteront de cibler les ordinateurs de bureau à partir d’une zone déjà violée, en simulant une intrusion, et lanceront une attaque vers la zone de contrôle principale pour tester si la stratégie de segmentation est suffisante pour bloquer efficacement les mouvements latéraux. Dans le même temps, le trafic réseau doit être surveillé pour voir s'il existe des communications anormales qui violent les politiques prédéfinies. Ce sont souvent des signes d’erreurs de configuration ou de menaces internes.

L’évaluation au niveau opérationnel sera plus intuitive. La clé est d’examiner si les objectifs commerciaux ont été atteints. Par exemple, le nombre d’arrêts imprévus dans le réseau de production causés par une seule panne d’équipement a-t-il été considérablement réduit ? Lorsqu’un incident de sécurité survient, le temps nécessaire pour identifier la cause première du problème et restaurer la production est-il considérablement réduit ? Le processus de déploiement et d’approbation des nouvelles demandes d’accès au réseau (comme l’ajout d’un dispositif de détection) sera-t-il plus clair et plus rapide ? Ces indicateurs peuvent démontrer directement la valeur réelle que la segmentation du réseau apporte à l'entreprise.

Une fois la segmentation du réseau mise en œuvre, est-il approprié de poursuivre la méthode d'isolation ultime, faisant de chaque périphérique clé un segment indépendant, ou devons-nous trouver un point d'appui équilibré entre la sécurité et la complexité de l'exploitation et de la maintenance ? Quelle stratégie préférez-vous pendant le processus de planification et de mise en œuvre, et quelles difficultés uniques avez-vous rencontrées ? Vous êtes invités à partager votre expérience pratique dans la zone de commentaires. Si cet article vous a inspiré, n'hésitez pas à liker et à partager avec vos collègues.

Commentaires

Enregistrer un commentaire

Posts les plus consultés de ce blog

Guide Complet Des Réductions D'assurance : Jusqu'à 30 % De Réduction Sur L'assurance Automobile, Conseils Pour économiser De L'argent Sur L'assurance Maladie

Les remises sur les primes d’assurance sont une opportunité que chaque assuré doit activement comprendre et profiter pour économiser de l’argent. Avec les bonnes connaissances et des actions pratiques, nous pouvons réduire considérablement les dépenses d’assurance sans affecter la protection. Cet article présentera systématiquement les moyens d'obtenir divers rabais d'assurance et les précautions correspondantes pour vous aider à économiser judicieusement vos primes. Comment obtenir un rabais sur votre prime d’assurance automobile Le facteur le plus critique pouvant affecter les primes d’assurance automobile est votre dossier de conduite. Si vous ne conservez aucun dossier d’accident ou d’infraction pendant plus de trois ans, vous pouvez généralement bénéficier d’une réduction de prime de 15 à 20 %. Les compagnies d’assurance estiment que les conducteurs prudents sont moins susceptibles d’être en danger et sont donc disposées à proposer des prix plus avantageux. De plus, si v...
Lire la suite

Parlons De L'application De La Technologie De La Blockchain Dans Les Transactions De Construction. Quels Problèmes Peuvent-ils Résoudre?

Chers amis, nous parlerons aujourd'hui de l'application de la technologie de la blockchain dans les transactions de construction. Beaucoup de gens peuvent ne pas en savoir beaucoup à ce sujet. En fait, il existe de nombreuses façons de résoudre les problèmes des transactions dans l'industrie de la construction! La blockchain est simplement un système de registre distribué avec une protection de cryptage cryptographique, que tout le monde peut lire et ne peut pas modifier à volonté. Contrairement aux anciens, qui peuvent être stockés au même endroit, et une personne peut le dire. Dans les transactions de construction, à partir des commandes d'achat pour une pile d'acier et de ciment à chaque paiement des paiements de projet, et même divers changements et modifications des contrats de projet, peuvent être enregistrés soigneusement par cette blockchain, et il est difficile d'être modifié secrètement s'il est enregistré. 1. Améliorer la transparence des transac...
Lire la suite

Interopérabilité Multi-fournisseurs : Construire Un Monde Connecté Avec Un Flux Fluide ?

Le multi- est une telle chose de nos jours, vous savez. C'est comme un grand monde où tout peut fonctionner et ce flux qui apparaît une fois que le multi- a montré son vrai sens. Maintenant, laissez-moi vous expliquer cela. Quand on parle de multi-, en termes, c'est un où ou ; leur peut et. Pour commencer, pensez à une maison pleine d’intelligence. Il se peut qu'il y ait plus de place pour votre maison. Ces deux-là travaillent main dans la main pour obtenir vos données d’utilisation. les données d'utilisation vous permettent de prendre beaucoup - , avec un puits-- . Votre boîte intelligente avec vous est une unité AC de celui qui les fabrique ; cela permet d'économiser celui utilisé pour entrer et A Multi- . C'est la raison pour laquelle les utilisateurs n'ont plus le droit de se baser sur la marque, mais sur la marque pour vous et les marques avec vous sont celles qu'ils ont en main. Comme maintenant à et à leur a ou à plusieurs, offrez beaucoup- ; s...
Lire la suite